Art. 6
Trattamenti che presentano rischi specifici
1. I trattamenti dei dati personali che implicano maggiori rischi
di un danno alla persona interessata, con particolare riguardo alle
banche di dati genetici o biometrici, alle tecniche basate su dati
relativi all'ubicazione, alle banche dati e ai trattamenti di cui
all'articolo 7 basati su particolari tecniche di elaborazione delle
informazioni o su particolari tecnologie, sono effettuati nel
rispetto delle misure e degli accorgimenti prescritti dal Garante ai
sensi dell'articolo 17 del Codice, sulla base di preventiva
comunicazione inviata con le modalita' indicate nell'articolo 39 del
Codice.
2. Gli accessi e le operazioni effettuati dagli operatori abilitati
relativamente ai dati di cui al comma 1, soggetti a trattamento
automatizzato, sono registrati in appositi file di log, non
modificabili, che sono conservati per cinque anni dall'accesso o
dall'operazione. Sono fatti salvi i diversi termini di conservazione
previsti da speciali disposizioni.
3. Gli accessi ai file di log di cui al comma 2 sono consentiti ai
soli fini della verifica della liceita' del trattamento, del
controllo interno, per garantire l'integrita' e la sicurezza dei dati
personali e nell'ambito del procedimento penale.
Note all'art. 6:
- Si riporta il testo degli articoli 17 e 39 del citato
decreto legislativo 30 giugno 2003, n. 196:
«Art. 17 (Trattamento che presenta rischi specifici). -
1. Il trattamento dei dati diversi da quelli sensibili e
giudiziari che presenta rischi specifici per i diritti e le
liberta' fondamentali, nonche' per la dignita'
dell'interessato, in relazione alla natura dei dati o alle
modalita' del trattamento o agli effetti che puo'
determinare, e' ammesso nel rispetto di misure ed
accorgimenti a garanzia dell'interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono
prescritti dal Garante in applicazione dei principi sanciti
dal presente codice, nell'ambito di una verifica
preliminare all'inizio del trattamento, effettuata anche in
relazione a determinate categorie di titolari o di
trattamenti, anche a seguito di un interpello del
titolare.».
«Art. 39 (Obblighi di comunicazione). - 1. Il titolare
del trattamento e' tenuto a comunicare previamente al
Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un
soggetto pubblico ad altro soggetto pubblico non prevista
da una norma di legge o di regolamento, effettuata in
qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di
salute previsto dal programma di ricerca biomedica o
sanitaria di cui all'art. 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del
comma 1 possono essere iniziati decorsi quarantacinque
giorni dal ricevimento della comunicazione salvo diversa
determinazione anche successiva del Garante.
3. La comunicazione di cui al comma 1 e' inviata
utilizzando il modello predisposto e reso disponibile dal
Garante, e trasmessa a quest'ultimo per via telematica
osservando le modalita' di sottoscrizione con firma
digitale e conferma del ricevimento di cui all'art. 38,
comma 2, oppure mediante telefax o lettera raccomandata.».